“短信保管箱”存安全隐患 多家运营商取消该业务

2015 年 7 月 22 日3510

"短信保管箱"存安全隐患 多家运营商取消该业务


  粤三大运营商 不再提供“短信保管箱”业务

  针对近期网上纷传的“移动短信保管箱导致工行网银被盗”事件,广州日报记者昨日采访了省内三大电信运营商后获悉,目前广东并没开通此业务,本地手机用户不需担心。

  由于意识到“短信保管箱”存在信息安全隐患,有的运营商没有在广东开通此业务,有的推出后去年已取消该业务。

  不法分子 通过“保管箱”盗验证码

  引发用户担忧的是北京移动一款名为“短信保管箱”的业务。根据中国移动的官方介绍,短信保管箱是北京移动自有数据业务产品,可以自动将用户发送、接收的短信同步备份存储到云端,用户通过指定的网站进行查询并管理短信内容。

  令人没想到的是,这种服务竟让犯罪分子盗刷用户的银行卡变得异常简单:让用户的手机开通“短信保管箱”业务,然后就可以在运营商的网站上直接查看他手机上收到的各种消费和转账的“短信验证码”,从而完成盗刷。

  有专家说,这种作案方式不仅“新颖”还很恐怖!

  因为犯罪分子只需掌握用户“短信保管箱”的登录信息和银行卡号,就可以随意盗刷你的银行卡了,而不论你怎么设置和修改银行卡的密码,都没有什么用。

  因此,有专家呼吁运营商直接取消这种服务。

  广东三大运营商 现已不再提供该业务

  更有网友说,在运营商那里只需要打个电话就可以开通这种“短信保管”业务了,开通很容易,但漏洞不小。而且,不光是中国移动,中国联通和中国电信都在提供这种名为“短信保管箱”的服务,功能是可以将你手机收到的短信,即时自动同步到他们的服务器上。

  到底该业务有没有安全隐患?运营商有没有提供该业务?本报记者昨日在三家运营商网厅中,均没有找到“短信保管箱”办理入口,随后记者向省内三大电信运营商了解,广东移动方面表示:目前没有开通这个业务,国内其他省市有没有开通并不清楚。广东电信方面表示,广东地区没有推出这项业务。广东联通方面表示去年已取消该业务,目前没有提供。

  内部人士说,该业务将用户短信保存在云端服务器上,保密措施欠缺,确实存在一定的信息安全隐患,因此大部分地区和运营商先后都停止提供该服务。

  不过,仍有国内少数地区还在提供“短信保管”业务。猎豹安全专家李铁军说,微博上另一个因移动短信保管箱导致工行网银被盗的案例,转发已超过4000次了,说明关注度很高。他怀疑,移动短信保管箱还有其他开通的通道,如果运营商不切断相应的开通通道,受害者肯定还会增加。每个移动手机用户都是潜在受害者,建议用户不要在银行卡活期账户留太多钱。

  犯罪分子盗刷过程

  让用户的手机开通“短信保管箱”业务;

  即可在运营商的网站上直接查看手机上收到的各种消费和转账的“短信验证码”;

  犯罪分子只需掌握用户“短信保管箱”的登录信息和银行卡号,就可以随意盗刷银行卡了。

  提醒

  短信验证码 不一定安全

  短信验证码一定安全可靠吗?不会被他人偷偷拦截吗?答案是否定的。上月,广州警方和腾讯等企业联手破获的10086积分诈骗案显示,犯罪分子将含有木马病毒的链接发短信给用户,用户不小心点击后就被安装了木马病毒。该木马病毒的作用是控制中毒用户手机,截取转发特定的短信。

  据介绍,这种拦截短信的手段也在被打击中不断升级。例如早期的木马会将用户短信全部拦截,由于用户一天内一条短信都收不到,容易被察觉。现在改进后的木马程序,就只拦截发自银行等金融机构的短信验证码。银行发给用户的短信验证码全部被悄悄截获了,而用户一点都不知情。

0 0